Of je het wil geloven of niet, feit is dat de overheid er continu mee bezig is om de privacy van haar burgers te bewaken – zeker in deze tijd van technologische vernuftigheden die vaak samenhangen met een rammelend privacybeleid. Zo wordt de rol van de Autoriteit Persoonsgegevens steeds crucialer, de instantie die belast is met het verwerken en beschermen van persoonsgegevens. Inmiddels mag deze autoriteit – gewapend met de AVG wetgeving – zelfs boetes en sancties opleggen als bedrijven zich niet houden aan de regels. Dat geldt ook voor de privacy in Smart City omgevingen.
Onderzoek AP naar Smart City privacy
Eind 2019 werd er daarnaast een start gemaakt met een diepgravend onderzoek naar de ontwikkeling van Smart Cities. Hierbij werd vooral de nadruk gelegd op manieren waarop gemeenten de privacy van bewoners en bezoekers kunnen garanderen tijdens de implementatie van diverse smart city toepassingen. Daarmee lijkt het AP ook de autoriteit – of bewaker te willen worden van alle slimme steden-initiatieven.
Slimme steden, ter herinnering, creëren technologische oplossingen om problemen binnen hun stadsgrenzen aan te pakken. Mobiliteit, nutsdiensten, parken, veiligheid, gemeentelijke dienstverlening, en huisvesting zijn hier slechts enkelen van – waarbij oplossingen vaak gericht zijn op de vergaring van enorme hoeveelheden data.
In de aanwezigheid van dusdanige hoeveelheden data is het niet gek dat hier ook persoonsgegevens en informatie die op enige wijze privacygevoelig is tussenzitten. Zo worden de risico’s ineens aanzienlijk, nu alle – of een significant deel van de – inwoners van een stad aangesloten worden op de slimme stad. Vaak is dit ook onmogelijk om echt goed te reguleren, denk daarbij aan 24/7 surveillance camera’s die gekoppeld zijn aan een gezichtsherkenning-protocol, waarmee mensen al snel ‘geïdentificeerd’ worden.
Al in al maakt dit het heel belangrijk dat data op de juiste manier verwerkt en uiteindelijk ook weer verwijderd wordt. Een datalek kan al snel grote gevolgen hebben, waardoor steeds opnieuw afgewogen moet worden wat de voordelen van het bewaren van de data zijn ten opzichte van het risico dat het op straat komt te liggen.
Belang van goede dataverwerking
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, zei hierover: “Het is een groot goed om je in het openbaar vrij te kunnen bewegen en je onbespied te weten. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering is toegestaan. Het moet steeds zijn gebaseerd op wetgeving die voldoende duidelijk en nauwkeurig is en waarvan de toepassing steeds voldoende voorspelbaar is.”
“De AP juicht innovatief gebruik van data voor meerwaarde in de openbare ruimte toe, mits de privacy van burgers voldoende is gewaarborgd. De smart city-toepassingen moeten namelijk voldoen aan de eisen van de AVG. Het waarborgen van privacy in de ontwikkeling van smart city-toepassingen zorgt voor duurzame oplossingen met maatschappelijke meerwaarde die binnen de grenzen van de privacywet vallen.”
Een van de manieren waarop de AP tracht te reguleren, is door het DPIA-instrument – oftewel de Data Protection Impact Assessment. Hiermee worden gemeenten geacht om eerst in kaart te brengen wat de privacyrisico’s zijn van de eventuele smart city-toepassingen die ze overwegen. Deze DPIA’s kunnen direct of op een later moment opgevraagd worden door de Autoriteit Persoonsgegevens om zo de naleving ervan te garanderen.
Uitkomsten van het onderzoek
Inmiddels, in augustus 2021, is het onderzoek van de Autoriteit Persoonsgegevens afgerond en – met alle opgedane kennis – omgezet in een aantal concrete aanbevelingen voor smart cities, die deze week gepubliceerd zijn.
Aanbevelingen zijn nodig, aldus de AP in haar introductie van het rapport, omdat “gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen waarbij persoonsgegevens van de burgers verwerkt worden essentieel is. Slecht ontwikkelde toepassingen kunnen namelijk ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig is of niet is toegestaan.”
Daar lijkt geen speld tussen te krijgen. In de expansiedrang van gemeenten wordt er nu eenmaal niet altijd even grondig gekeken naar de risico’s, zeker niet in de aanwezigheid van de overdaad aan voordelen en prestige dat een bepaalde innovatie met zich meebrengt. In die zin is het goed dat het AP zich ermee ‘bemoeit’.
Vicevoorzitter Monique Verdier geeft aan waar de grens zou moeten liggen. “Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen. De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte, maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen. Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid? Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt? Welke informatie mag aan elkaar worden gekoppeld? De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.”
De richtlijnen voor de slimme stad
Om beter advies te kunnen geven, is er gekeken naar de mate waarin nu gebruik gemaakt wordt van smart city-toepassingen; en hoe de persoonsgegevens die hiermee gemoeid zijn nog beter beschermd zouden kunnen worden. Ook zou er per gemeente een interne privacytoezichthouder – de zogenaamde functionaris gegevensbescherming – aangewezen moeten zijn die aan alle betrokken partijen kan uitleggen wat de privacyimplicaties zijn.
Als grote ‘conclusie’ van het onderzoek zijn de volgende richtlijnen opgesteld:
- Zorg dat de basisbeginselen van de AVG op orde zijn.
- Blijf vasthouden aan de DPIA’s, de risicoanalyses voor smart city-toepassingen. Deze is vaak verplicht en moet regelmatig bijgewerkt worden om actueel te blijven. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
- Houd grip op de smart city. Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
- Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van uw gemeente wel echt zo?Blijf ook regelmatig controleren of er daadwerkelijk aan de gestelde eisen voldaan wordt.
- Onderzoek hoe uals gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers. Wees ook hier alert en blijf regelmatig – aangekondigd en onaangekondigd – controleren of het gebruik van de vergaarde data binnen de gestelde kaders blijft.
- Creëer een privacyorganisatie in de gemeente. Zorg daarbij voor voldoende mensen en middelen voor het organiseren van privacy en het nazien op privacykwesties. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen.
- Gebruik de gemeenteraad als tegenmacht. Digitalisering en de inzet van smart city-toepassingen verdienen meer aandacht bij de gemeenteraad. Gemeenteraden moeten voldoende kennis en informatie daarover krijgen om hun democratische taak goed uit te kunnen voeren. Het betrekken van experts kan helpen om de juiste vragen te stellen.
- Gebruik de kennis van burgers bij het in kaart brengen van de risico’ Zij kennen hun eigen leefomgeving het besten kunnen meedenken over de gevolgen van een technische toepassing.
Een smart city geeft om privacy
De titel ‘slim’ verdient een stad dus niet alleen door het handige gebruik van technologieën. Ook de manier waarop deze technologie toegepast wordt speelt een grote rol. Is het goed doordacht? Zijn de risico’s en eventuele privacy-implicaties duidelijk, en wat wordt er aan gedaan om de gegevensverwerking zo beperkt én relevant mogelijk te maken?
Een stad die al zover is dat het over dergelijke vraagstukken kan nadenken, laat zien dat er een mooie toekomst ligt – eentje waarin onze privacy-rechten niet in de weg zullen staan van de grotere technologische vooruitgang.